Vor 2 Tagen fing es an. Da kam die erste Mail mit "Zustellung verzögert" zurück. Das wurden dann immer mehr und seit heute geht gar nichts mehr.
IONOS stellt ihre Server auf TLS 1.2 um. Soweit so gut, da mein Exchange 2019 das (auch lt. chektls.com) ja auch macht, dachte ich. Nachdem ich mir die Header etwas genauer angeschaut habe (bin da nicht so der Held), hatte ich allerdings die Vermutung, dass die Zertifikatsfehler nicht von meinem Server her rühren, sondern vom Smarthost bei IONOS.
Ausgangslage: Smarthost: smtp.1und1.de
Rückmeldung: 451 4.4.395 Target host responded with error. -> 454 4.7.5 Certificate validation failure, Reason:NoRevocationCheck'
Dazu konnte ich nicht wirklich was finden, leider.
Anschließend den Smarthost auf smtp.ionos.de umgestellt (Ist DNS-mäßig zwar das gleiche, aber sicher ist sicher)
Gleiche Rückmeldung
smtp.ionos.de bei checktls.com gechecked und dort bekomme ich (nicht immer, aber sehr oft) dann auch einen Zertifikatsfehler angezeigt.
Ergebnis bis jetzt: Warteschlange für ausgehende Mails läuft über und ich bekomme keine Mails mehr raus. Empfang geht.
Was kann ich jetzt machen, so dass es wieder geht, oder muss ich warten, bis die ihre Server wieder im Griff haben?
Welches Zertifikat verwendest du denn auf deinem exchange und was steht im sendeconnctor als ehlo String? Am Ende meckern sie, weil sie dein Zertifikat noch verifizieren können, weils keine revocation list gibt die erreichbar ist.
Eins von Let's Encrypt, schon seit Jahren. Ist auch aktuell. Ehlo:
250-mail.fkg.de Hello
checktls.com sagt auch alles gut (kann die Ausgabe hier nicht reinkopieren, bekomme immer "forbidden". Zertifikatsname enthält auch mail.fkg.de, autodiscover....)
Sorry fürs delay....bekam immer *forbidden* und musste warten.
Hab jetz zusätzlich mal das Logging für den Sendeconnector eingeschaltet (Connector heißt Internet): Unable to validate the TLS certificate of the smart host for the connector Internet. The certificate validation error for the certificate is NoRevocationCheck. If the problem persists, contact the administrator of the smart host to resolve the problem.
checktls.com sagt auch alles gut
Testest du den Empfang oder den Versand? Denn nur bei letzterem würdest du ja das richtige sehen. Und dafür dürftest du dann nicht über den Smarthost senden.
@norbertfe Yep, da isses wieder... Wald, Bäume. Du hast völlig Recht. Denke da zu gezwungen und hab das völlig falsch angefasst. Es kommt keine StartTLS mit dem Smarthost (Ionos) zu Stande, weil mein Server dessen Zertifikat nicht überprüfen kann (Das wäre jetzt meine Vermutung). Und somit hat das Ganze auch keinen Einfluss bei CheckTLS für meinen Server, da da ja nur Empfang. Ein Sende-Test bei checktls kommt nicht zu Stande, weil ich meine Mail ja gar nicht erst los werde. Bleibt bei mir in der Warteschlange. Hab IONOS mal angeschriebn, vlt. haben die ja tatsächlich ihr Zertifikat gewechselt und mir fehlt auf meinem Server das dazugehörige Stammzertifikat (Hoffe das ich zumindest jetzt gedanklich nicht völlig daneben liege).
Irgendwie kommt mir der Fehler bekannt vor, gabs afair hier schonmal im Forum vor ein zwei Jahren meine ich.
@norbertfe Hab zum Testen auch noch mal einen weiteren Sendeconnector erstellt (DNS), Über diesen klappt das Senden und der Test mit checktsl (Senden) ergibt auch TLS funktioniert. Stelle ich zurück auf Smarthost geht es wieder nicht. Bei Google gab es da schon mal was mit fehlendem Stammzertifikat bei 1und1 durch ein Microsoft-Update, welches dann von 1und1 zur Verfügung gestellt wurde....Hab gerade mit Ionos telefoniert!?! Thema Smarthost ist da mehr:" ..ähhh, da muss ich mal schauen/fragen/weitergeben...". Es scheint aber wirklich das Zertifikat des Smarthosts zu sein, welches mein Server nicht überprüfen kann, Schicke ich über den DNS-.Connector z.B. an Web.de klappt alles und auch mit TLS lt. Ereignisprotokoll.
451 4.4.395 Target host responded with error. -> 454 4.7.5 Certificate validation failure, Reason:NoRevocationChec
Die Prüfung führt ionos durch und nicht dein sendconnector. ;) also ionos meckert aus welchem Grund auch immer über dein zert.
@norbertfe So, bin jetzt völlig daneben. Hat mit allem probieren und neu machen nix geholfen. Bis gestern Abend immer der gleiche Mist. Hab auch mehrfach ein Backup, bei dem es noch funktioniert hat, zurückgespielt. Ging auch nicht. War heute morgen schon soweit, den Server komplett neu auf zu setzen. Ein letzter Versuch mit dem Backup von gestern Abend und danach wollte ich nochmal alle Zertifikate erneuern. UND DANN.... das Ding läuft wieder völlig normal, ohne Streß und Fehler und ohne noch weitere Änderung nach dem Recovery gemacht zu haben. Da kann doch nur 1und1 was gemacht haben?!?, Aber danke für deine Anregungen!
Das steht doch aber in meiner Antwort, dass ionos erstmal die Prüfung macht. Also da jetzt auch über restore nachzudenken ist ziemlich abwegig. ;) Hauptsache geht wieder.